A Câmara dos Deputados aprovou a Medida Provisória que cria a Autoridade Nacional de Proteção de Dados (ANPD) em votação realizada nesta terça-feira (28). A entidade será, na prática, a responsável por fazer valer a Lei Geral de Proteção de Dados (LGDP), que criou camadas de salvaguardas à informações pessoais de brasileiros e passará a valer a partir de agosto do ano que vem.
O texto, que segue agora para o Senado, traz mudanças em relação ao conteúdo original da MP, como a autonomia plena da ANPD por dois anos, a não-flexibilização do uso de dados por parte de planos de saúde e um leque maior de punições a empresas que não zelarem adequadamente das informações de brasileiros.
O que muda no ANPD?
Vetada por Michel Temer quando o ex-presidente sancionou a LGPD (veja detalhes abaixo) em agosto do ano passado, a ANPD foi recriada por meio de uma Medida Provisória em um dos últimos atos da gestão anterior. A autoridade tem o poder de criar normas adicionais à lei de proteção de dados e de determinar diretrizes específicas para empresas que processam informações pessoais de brasileiros.
Ela também é responsável pela fiscalização de desvios de conduta e pela aplicação de multas – a punição financeira pode chegar a 2% do faturamento desde que não ultrapasse os R$ 50 milhões.
O texto aprovado na Câmara mantém a subordinação da ANPD à Presidência da República. Diferentemente da proposta original, porém, estabelece que essa ligação seja reavaliada pelo Executivo em até dois anos após a data da entrada em vigor da estrutura da entidade, o que deve ocorrer em agosto. Nesta ocasião, segundo o texto da MP, será decidido se a ANPD será transformada em um órgão da administração pública direta, ou seja, uma autarquia.
Outra mudança feita é a inclusão entre as atribuições da ANPD a de criar um sistema eletrônico para receber reclamações a respeito do tratamento de dados.
A ANPD será composta por cinco diretores, que serão assessorados por um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, formado por 23 membros. A MP chegou à votação com um conselho de 21 indivíduos, mas uma emenda da deputada Perpétua Almeida (PCdoB-AC) foi aprovada no plenário para incluir segundos integrantes do setor empresarial e dos trabalhadores. Fica assim:
- 5 do Poder Executivo federal;
- 1 do Senado Federal;
- 1 da Câmara dos Deputados;
- 1 do Conselho Nacional de Justiça;
- 1 do Conselho Nacional do Ministério Público;
- 1 do Comitê Gestor da Internet no Brasil;
- 3 de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
- 3 de instituições científicas, tecnológicas e de inovação;
- 3 de Confederações Sindicais representativas das categorias econômicas do setor produtivo;
- 2 de entidades representativas do setor empresarial relacionada à área de tratamento de dados pessoais;
- 2 de entidade representativa do setor laboral.
Mudanças na proteção de dados
O texto da MP 869 aprovado na Câmara alterou ainda outros pontos da LGPD. Um deles é o que trata do uso de dados por empresas da área de saúde, como planos de saúde. A MP assinada por Temer abria a possibilidade para que informações pessoais fossem transferidas entre companhias. Defensores da privacidade argumentavam que isso permitira que dados referentes à saúde, como remédios tomados e tratamentos feitos, fossem usados para cobrar planos de saúde de algumas pessoas.
O texto votado pelos deputados libera o compartilhamento de informações entre as empresas do setor somente se os pacientes solicitarem. Proíbe ainda o uso de dados para decidir quais clientes devem pagar mais com base nas condições de saúde de um cliente:
“É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários”
Decisões tomadas por robôs
O texto aprovado na Câmara permite que alguém insatisfeito com o resultado de um processamento automático de seus dados possa pedir uma revisão feita por um humano. Originalmente, a MP abria margem para que a nova análise fosse feita por um robô.
Punição
Outra alteração feita pela MP 869 é a ampliação das possibilidades de punir uma empresa infratora. Entre as novas sanções, estão a suspensão parcial do funcionamento do banco de dados a que se refere a infração por 6 meses, prorrogáveis por igual período; suspensão da atividade de tratamento dos dados pessoais e até proibição parcial ou total do funcionamento da empresa. O DEM contestou a penalidade, mas esta foi mantida pelo plenário.
O que é dado pessoal?
A nova lei caracteriza como dado pessoal toda informação que pode ser usada para identificar alguém. Nessa conta podem entrar nome e apelido, endereço de residência, endereço eletrônico, número de cartão de identificação, dados de localização (GPS, por exemplo), endereço de IP, histórico de navegação e até registros médicos.
Ela também trata dos dados pessoais sensíveis, que são informações sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Aquelas informações incapazes de serem usadas para identificar alguém, por terem sido tratados coletivamente pelas empresas para definir perfis de usuários, são chamadas de dados anonimizados. Ao contrário das duas categorias acima, nesta não é necessário que o usuário dê consentimento para as empresas e órgãos tratarem tais dados.
Posso usar seus dados?
Os dados pessoais de uma pessoa no Brasil só poderão ser tratados, analisados ou manipulados por uma empresa que receber um consentimento explícito do titular. Não vale truque. Se o pedido não ficar claro, a autorização não vale. Além disso, esse aval pode ser revogado a qualquer momento.
Antes de ouvir o “sim”, a empresa tem que informar com que finalidade pede os dados, por quanto tempo irá usá-los e quem as pessoas jurídicas responsáveis pelo processo. Todas as vezes que algum desses itens mudar, tem de pedir o consentimento novamente.
Vai usar meus dados para que?
Assim como a lei europeia, a legislação brasileira exige que as empresas coletem somente os dados necessários para que seus sistemas funcionem. Ou seja, nada de pedir seu tipo sanguíneo na hora de fazer um cadastro na loja de sapato. Se a companhia não for específica no detalhamento, a autorização dada pelo titular do dado será anulada.
E os menores de idade?
Se uma empresa quiser tratar os dados pessoais de crianças e adolescentes, deverá buscar o consentimento específico dos pais ou responsáveis legais por eles. É responsabilidade dela garantir que foram os adultos que autorizaram o uso.
Posso alterar, excluir ou transferir meus dados?
Outra novidade trazida pela lei é permitir que as pessoas tenham acesso a seus dados armazenados por empresas. Isso deve ser fornecido de forma simplificada e sem burocracia. Também é possível pedir para corrigir ou atualizar essas informações e até solicitar uma cópia da base de dados para transferi-la a outro fornecedor do serviço ou produto. Outra possibilidade é a de pedir a exclusão das informações.
E se eu não gostar de uma decisão automatizada?
Como algumas empresas usam os seus dados pessoais para criar sistemas que definem automaticamente que tipo de acesso você poderá ter a serviços ou produtos, será possível pedir uma revisão dessa análise. Isso será possível desde que as decisões “afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade”.
E qual a punição para infratores?
Caso não cumpram as regras ou reparem o dano de quem teve algum dado vazado, as empresas infratoras podem ser obrigadas a pagar multa de até 2% do faturamento, desde que o valor não passe de R$ 50 milhões.
O governo pode compartilhar meus dados com quem quiser?
O poder público não pode transferir a empresas privadas os dados pessoais que estejam em suas bases, a não ser em casos da atividade pública previstos na Lei de Acesso à Informação; e quando os dados em questão já são acessíveis publicamente.
A proposta original da lei ainda previa outra exceção: quando houvesse previsão legal, mas isso também foi vetado. O governo afirmou que isso inviabilizaria o setor público, já que procedimentos como a folha de pagamento dos servidores em bancos, que se encaixariam nisso, estavam previstos em atos normativos, e não em lei.
Podem levar meus dados para fora do país?
Como a internet não tem fronteira, a nova lei definiu que será permitido transferir informações pessoais que estejam no Brasil para outro país em apenas duas condições. A primeira: caso o país ou organização de destino tiverem grau de proteção de dados pessoais adequados ao do Brasil. O segundo: quando a empresa que receber os dados der garantias de que cumpre os mesmos princípios estabelecidos pela lei brasileira.
FONTE: Notícias UOL
URL: https://noticias.uol.com.br/tecnologia/noticias/redacao/2019/05/28/camara-aprova-recriacao-do-xerife-de-dados-orgao-protetor-da-privacidade.htm
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.